Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y COMPLIANCE

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

El “fingerprinting” o técnicas de creación de la “huella digital de un dispositivo”, ¿es legal?

En ocasiones accedemos a páginas web que nos ofrecen un servicio “gratuito” (aunque nada es gratis en esta vida, como se acostumbra a decir).

Pongamos por caso que tenemos un documento en PDF y queremos convertirlo a WORD; pues bien, hay páginas web que nos facilitan esa labor, pero en algunas tendremos que facilitarle determinados datos de carácter personal, como nuestro nombre y dirección de correo electrónico, a la que enviarán el documento convertido, además de instalar en nuestro equipo una serie de cookies.

No digo siempre, pero en muchas ocasiones, la información recabada de los usuarios en páginas con servicios “gratuitos” se monetiza o rentabiliza a través de servicios de marketing. ¿Es lícito?. Lo es, siempre que lo adviertan en su política de privacidad y el usuario de su consentimiento (aunque la política de privacidad no es negociable y marcamos la casilla correspondiente a su aprobación porque pretendemos acceder al servicio “gratuito” que nos ofrecen, de modo que estamos vendidos).

Para identificar a los usuarios se utilizan diferentes técnicas de seguimiento y las más conocidas son las cookies*, es decir, dispositivos de almacenamiento y de recuperación de datos que se instalan en los terminales del usuario a condición de que los mismos hayan previamente dado su consentimiento, después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, esto es, la llamada “política de cookies”. Generalmente, las cookies son temporales, con un ciclo de vida relativamente corto y resultan inofensivas. El uso de las cookies viene legitimado por el artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, el artículo 13 del Reglamento General de Protección de Datos y el artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.

Luchar contra las cookies es relativamente fácil. Los distintos navegadores pueden ser configurados para que no aceptar o limitar las cookies y muchos antivirus permiten la programación de un borrado periódico de cookies.

En principio, limitando el uso de las cookies o borrándolas directamente de nuestro equipo parece que podemos proteger nuestra intimidad. Pues va a ser que no. Las cosas, no son tan sencillas.

Actualmente, hay nuevas técnicas de identificación y seguimiento de los usuarios cuya legitimación o legalidad no está nada clara. Este conjunto de técnicas se conoce en la terminología anglosajona como fingerprinting o huella digital del dispositivo**.

Para entendernos, la huella digital del dispositivo es una recopilación sistemática de información sobre un dispositivo con el objetivo de identificarlo, singularizarlo y, con ello, realizar un seguimiento de la actividad de su usuario, con el propósito de construir su perfil, y este mecanismo afecta a cualquier dispositivo que pueda emplear el usuario (teléfono móvil, ordenador de sobremesa, portátil, tableta, etc). La información que recaban no suele ser pública y afecta a direcciones y nombres a diferentes niveles, estado de puertos, versiones y estado de actualización de software y parches de SO, listados de vulnerabilidades, etc. Esta información se logra con técnicas y herramientas muy específicas como el phishing, el sniffing y el scanning (en Internet hay bastante información sobre estas técnicas, pero si no es informático, como yo, es probable que le suene “a chino”). 

A diferencia de las cookies, que pueden ser eliminadas del dispositivo, las técnicas de huella digital permiten volver a asignar al mismo usuario la información vinculada al identificador de la cookie eliminada y no perder la trazabilidad sobre los datos de navegación del usuario o simplemente realizar el seguimiento en base únicamente a la huella digital. El borrado de cookies no es eficaz y lo más alarmante es que, en ocasiones, ni siquiera es necesario instalar una cookie para tener la huella digital del dispositivo.

Existen páginas web (por ejemplo, https://panopticlick.eff.org/ y https://amiunique.org/) que nos permiten saber si nuestro dispositivo es potencialmente identificable mediante el uso de técnicas de fingerprinting. Sin que prueben ya les digo que lo es. 

Muchos navegadores tienen la opción de “navegación privada” o “de incógnito”. Con esta opción los usuarios tienen la sensación de que su navegación es segura y que no será rastreable, pero nada más lejos de la realidad. Con esta opción el navegador no guarda el historial de navegación, la información de formularios, las cookies u otros datos de sitios web. En principio, puede dar la sensación de que la navegación de incógnito permite que el usuario esté protegido frente al uso de la huella digital, pero es una sensación de falsa seguridad, pues a las técnicas usadas en la confección de la huella digital les resulta transparente la navegación privada y el equipo quedará igualmente individualizado. Así que la navegación privada o de incógnito no es efectiva frente a los mecanismos de creación de huellas digitales.

Otra opción para tratar de proteger nuestra intimidad es la activación de las opciones de privacidad que incluyen los navegadores, tales como deshabilitar la tecnología Flash o enviar la petición de no seguimiento, pero estas medidas tampoco reducen significativamente las técnicas de fingerprinting. Además, la deshabilitación de determinadas aplicaciones como Javascript impide la navegación efectiva en muchas páginas web.

Llegados a este punto estará pensando que estamos perdidos. Que no podemos hacer nada para proteger nuestra intimidad frente a desconocidos y en parte es así, pero algo se puede hacer.

Un mecanismo de protección es utilizar distintos navegadores en un mismo terminal. No elimina el uso de la huella digital, pero permitirá que no toda la información sobre la actividad del usuario se consolide asociada a un mismo identificador. De hecho, algunos navegadores, conscientes de la vulnerabilidad de los dispositivos, están trabajando en la implantación de medidas de control contra el fingerprinting (por ejemplo, la versión Firefox 67 parece que las incluirá).

Los navegadores de uso general permiten instalar extensiones, también conocidas como plugins, que permiten modificar la funcionalidad del navegador, cuya funcionalidad mejora la privacidad del usuario en forma de bloqueadores de herramientas de seguimiento del usuario. Entre las más conocidas y recomendables están Ghostery y Ublock. Con todo, no son herramientas infalibles y, en ocasiones, ralentizan el uso del navegador.

También pueden navegar en Internet a través de la red TOR que sí que enmascara la huella digital del dispositivo, pero no es del todo segura, pues no aplica el cifrado de “extremo a extremo”. De modo que, si visitamos una página web que no esté encriptada con HTTPS, cualquier dato que enviemos no estará debidamente protegido.

Las técnicas que permiten generar la huella digital de un dispositivo cualquiera, entiendo que no son legales y es, por ello, que las autoridades de control deberían actuar frente a quienes las emplean, aunque soy consciente de que no es una tarea fácil.

Para que sean legales deberían cumplir los requisitos exigibles a las “cookies” en los términos previstos del artículo 22.2 de la LSSI, esto es, los requisitos de información al usuario y obtención del consentimiento. Hasta tal punto son ilegales que el usuario no tiene forma de ejercer los derechos reconocidos en el RGPD cuando se recogen y/o asocian sus datos personales para crear dicha huella. Tampoco se informa sobre el plazo de conservación, y desde luego dichas técnicas son incompatibles con el principio de minimización de datos. 

La conclusión, o moraleja, es que proteger nuestra intimidad en Internet no es nada sencillo, en más, diría que es casi imposible.

* Si quieren saber más sobre el uso de las cookies:

https://www.aepd.es/media/guias/guia-cookies.pdf

** Y sobre Fingerprinting o Huella digital del dispositivo:

https://www.aepd.es/media/estudios/estudio-fingerprinting-huella-digital.pdf

PortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).